科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道NIMDA病毒攻击3526E导致用户上网故障

NIMDA病毒攻击3526E导致用户上网故障

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

现在网络病毒攻击的情况越来越多,由于一般的设备对攻击不具备多少抵抗能力,因此网络上的机器要定期杀毒,或是安装防火墙。NIMDA病毒攻击3526E将导致用户无法获取地址,释放地址后试图重新获取不成功;虽然能上网,但是网速变得极低,并且无法PING通网关。

作者:论坛整理 来源:zdnet网络安全 2008年3月3日

关键字: 病毒 防病毒 病毒防范 反病毒 木马 杀毒软件

  • 评论
  • 分享微博
  • 分享邮件

现象描述

组网概述:3526E->8850->8750。一部分用户通过2403->3025->3526E的GE口上网,另一部分用户通过2403->3526E

故障现象为两类:

1、无法获取地址,释放地址后试图重新获取不成功;

2、能上网,但是网速变得极低,并且无法PING通网关。

警告信息

原因分析

1、可能是DHCP服务器故障;

2、可能是上层设备故障;

3、可能是网络上存在大量ARP广播包,占用了CPU;

4、可能是网络中有非法用户采用ICMP报文攻击导致。

处理过程

1、根据故障现象1,可能DHCP服务器有故障,经查看,排除此可能;查看上层设备8850,也排除其故障可能。

2、在3526E上PING不通上行对接设备地址及下挂用户地址,设备本身也PING占用率,几乎达到100%。有可能是网络上存在大量广播包,占用了CPU

3、通过SHOW IPF ALL查看,发现硬件转发表项已超过设备极限,且有许多异常可疑地址。如:

[S3526E] display ipfdb all

Ip fdb entry information including the following fields:

Note: the value of Status field

0: System 1: Learned 2: UsrCfg Age 3: UsrCfg noAge Other: Error

Ip Address RtIf VTag VTValid Port Mac Status

1.215.8.137 2 2 Invalid GigabitEthernet1/1 00-e0-fc-c0-ff-e0 2

2.136.111.41 2 2 Invalid GigabitEthernet1/1 00-e0-fc-c0-ff-e0 2

3.64.162.222 2 2 Invalid GigabitEthernet1/1 00-e0-fc-c0-ff-e0 2

3.117.251.162 2 2 Invalid GigabitEthernet1/1 00-e0-fc-c0-ff-e0 2

用户网段均为10开头的私网地址,内部用户上公网通过PROXY代理,正常情况下不应学习到这些地址。由此判断设备受非法攻击导致,网络上有用户在不断地向全网网段发出

4、通过命令调试,如下:

[Quidway]acl number 101

[Quidway-acl-adv-101]rule permit ip source 1.0.0.0 0.255.255.255 destination any

[Quidway-acl-adv-101]rule permit ip source 2.0.0.0 0.255.255.255 destination any

[Quidway-acl-adv-101]rule permit ip source 3.0.0.0 0.255.255.255 destination any

[Quidway-acl-adv-101]rule permit ip source 4.0.0.0 0.255.255.255 destination any

[Quidway-acl-adv-101]rule permit ip source 9.0.0.0 0.255.255.255 destination any

debug ip packet acl 101

terminal debugging

terminal monitor

查看调试信息,查找到非法主机IP为10.11.144.152。根据其MAC地址在2403上查找到该主机。发现其有一未设口令的完全共享目录“新建文件夹”,打开该目录,发现该目录下的文件有病毒。该主机发起攻击,为该病毒发作所致。问题根源找到。

建议与总结

现在网络病毒攻击的情况越来越多,由于一般的设备对攻击不具备多少抵抗能力,因此建议网络上的机器要定期杀毒,或是安装防火墙。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章